自從將關注重點放到可信賴計算項目上之後微軟就開始堅持在Windows的每個新版本中都推出安全方面的新功能這種做法讓系統面臨的安全態勢發生了極為明顯的改善現在看來Windows 在這方面也沒有例外盡管由於公眾將關注重點放在了新用戶界面以及兩極分化非常嚴重的使用效果上從而導致安全方面的更新顯得不那麼引人注目了在本文中我們將共同了解一下各版本中都新增加了哪些安全功能它們之間有何不同以及實際效果究竟如何
Windows 系統提供的基本安全功能
這些功能將出現在Windows系統的所有版本中不論它屬於面向家庭用戶的Win還是面向商業用戶的專業以及企業版本情況都不會有所例外
UEFI安全啟動功能將獲得支持
盡管該功能在某些情況下可能會導致潛在問題出現的缺陷引來了不少非議但安全啟動依然屬於本版本Windows所提供的一項非常重要的安全新特性眾所周知統一可擴展固件接口(UEFI——目前最新的版本是)的目標是作為個人計算機的新一代固件接口來取代傳統的基本輸入輸出系統(BIOS)現在如果系統選擇使用安全啟動功能的話Windows 對於rootkit之類惡意軟件的有效防范能力就可以大為提高在安全啟動功能的支持下操作系統可以對所有啟動組件的數字簽名進行驗證防惡意軟件驅動程序能夠對所有篡改操作進行監控如果發現組件簽名不正確(已經被篡改了)的話Windows就會啟用恢復模式來嘗試對操作系統進行相應處理對於 rootkit類惡意軟件來說通常所采取的做法就是在絕大多數防惡意軟件工具啟動之前就篡改掉關鍵的操作系統文件並在引導過程中保持活動模式而最新的安全啟動功能就可以檢測出所有類型的篡改操作並防止rootkit加載進來對於公司用戶來說現在最佳的方案就是在部署Windows 的時間直接啟用此功能並禁止員工進行關閉處理
智能窗口過濾器的覆蓋范圍進一步增加
對於智能窗口技術來說最早出現的位置是Internet Explorer浏覽器而現在它的覆蓋范圍將擴展到操作系統之中在NSS實驗室進行的相關測試中該功能已經被證明屬於現代浏覽器檢測並阻止社會化工程類惡意軟件的最佳選擇智能窗口技術由URL信譽檢驗系統與應用程序和文件信譽檢驗系統兩部分組成URL信譽檢驗系統可以用來幫助用戶防范網絡釣魚以及社會化工程等類型的攻擊文件信譽檢驗系統則可以對文件下載情況進行全面跟蹤並對相關信譽情況進行驗證如果下載文件被確認為屬於惡意類型的話就將遭到阻止並給出如下所示的警告信息來
圖A
如果它屬於新文件或者系統無法進行有效識別的情況則將會顯示出類似下圖的警告信息
圖B
由於在涉及未知類型的文件時這種做法很可能會導致出現用戶選擇繞過警告信息選擇強行打開可疑的情況因此系統管理員需要進行及時有效干預以防止警告信息被忽視
內置免費防惡意軟件/病毒工具Windows Defender
在Windows 中微軟還將提供一套功能非常完整的防惡意軟件解決方案所采取的做法就是在Windows Defender中增加微軟安全解決方案使用的防病毒功能這就意味著該版本的Windows Defender將具備更高的性能對於系統內存/CPU的占有率也變得更低對於企業級用戶來說現在也是做好更換防惡意軟件產品准備的時間了因此當前企業正確的做法就是針對解決方案對於兼容Windows 的規劃情況向各家防惡意軟件供應商進行全面咨詢畢竟在安全啟動功能的支持下公司現在可以輕松建立起安全可靠的網絡環境潛在漏洞將會變得更少反應速度則會變得更快
圖片密碼
對於安全登錄來說圖片密碼就屬於一種采用觸摸模式的新方式現在用戶可以選擇一張圖片並在上面做出三種觸摸手勢系統就可以將手勢序列作為用戶“密碼”保存起來以後用戶就可以通過重復操作進行登錄依靠手勢序列與圖形之間的關聯這種模式就可以達到提高登錄安全性的目標舉例來說用戶可以選擇一張包含有兩名人物的圖片在其中一位的臉上畫張笑臉並觸摸另一位的兩只眼睛盡管這種模式聽起來非常有趣但相比傳統模式而言系統的可靠性將會如何依然有待觀察
內置PDF閱讀器Windows Reader
作為Windows 中新集成的文檔閱讀器微軟將會為Windows Reade增加一種非常有趣的安全新功能該閱讀器可以支持目前極為流行攻擊者也相當願意使用的PDF文件格式通過集成使用系統常規更新模式的簡易版閱讀器操作系統就可以減少對於包含潛在風險的應用程序或插件的需求從而達到提高平台默認安全性的目標
ASLR與減少攻擊
地址空間布局隨機化(ASLR)最早出現的位置是Windows Vista之中而既定目標則是減輕代碼與數據在內存中的位置隨機移動從而導致臭名昭著的“緩沖區溢出”漏洞出現所帶來的危害在Windows 中為了防范繞過ASLR的技術企圖得以實現隨機化程度被進一步提升涉及的其它措施還包括了對Windows內核與堆進行調整即利用類似ASLR 的方法來進行全新的完整性檢查以及隨機化處理並且對於Internet Explorer 來說也將從這些變化中獲得好處除了“增強保護模式”沙箱之外這裡還包括了一個名為“ForceASLR”的IE選項它可以對浏覽器內存中加載的所有模塊都進行隨機化處理不受到它們是否選擇使用保護ASLR技術(通過使用可選/DYNAMICBASE標志來創建模塊開發人員就可以獲得 ASLR技術帶來的好處)的限制
Windows 專業版中提供的安全功能
下面列出的幾項功能將只會出現在面向商業用戶的Windows 專業與企業版中
磁盤加密工具BitLocker與BitLocker To Go
在Windows Vista中微軟提供了Bitlocker作為全盤加密解決方案而在Windows 中Bitlocker被Bitlocker To Go所代替在新版本中該工具的變化並不大不過它也增加了將Bitlocker To Go的加密密鑰備份到SkyDrive帳戶的新選項
加密文件系統
作為微軟最早提供的加密解決方案EFS可以支持針對單個文件文件夾以及驅動器的操作它最早出現於二十多年前的 Windows NT系列產品中不過目前已經基本上被BitlockerBitlocker To Go以及大量免費加密工具所代替
域成員與組策略對象
如同先前的情況沒有區別這兩項功能依然屬於區隔Windows家用與商用版本的主要差別所在對於需要集中進行管理的網絡環境來說可以在活動目錄域加入新成員就屬於至關重要的功能一旦用戶加入進來管理員就可以針對域成員創建並應用組策略對象實現對包括安全在內很多方面的日常工作進行全面控制在Windows 中微軟針對新操作系統引入了新策略
圖C
Windows 企業版中的安全功能
最後簽訂了軟件保障協議的公司將有機會獲得Windows 企業版它將包括下面列出的幾項安全功能
應用程序控制策略工具Applocker
作為微軟提供的應用程序控制解決方案采用黑白名單技術的Applocker最早是在Windows 中出現的在AppLocker的幫助下系統管理員可以通過建立策略來對用戶安裝以及運行特定應用程序之類的活動進行全面控制而在Windows 中AppLocker可以對傳統桌面應用程序以及新出現的Metro應用程序進行管理
直接訪問功能
作為外部計算機利用VPN安全連接公司內網的替代選擇微軟推出了直接訪問功能在使用的時間直接訪問並不需要其它應用的支持並且能夠幫助公司確保遠程模式或者移動計算機在應用以及補丁策略方面不會出現兼容性問題相比Windows 中出現的最初版本該功能並沒有發生什麼大變化
系統鏡像功能Windows To Go
緊隨“使用自有設備”浪潮的發展微軟也宣布推出Windows To Go系統鏡像功能由於可以支持全面管理並具有完全的連接無關性因此系統管理員就可以利用外部USB驅動器來保存Windows 企業鏡像並在任意x系統上進行啟動作為企業系統的完全鏡像包括Windows更新策略企業防病毒解決方案以及加密工具BitLocker在內的項目都屬於可管理的目前Windows To Go的最低要求是至少擁有GB空間的USB驅動器盡管存在這麼多的限制條件但對於不少公司尤其是那些關注自帶設備舉措導致以及災難恢復方案帶來的安全風險的來說它依然屬於非常有價值的功能
From:http://tw.wingwit.com/Article/os/fwq/201406/31069.html
